Polityka bezpieczeństwa informacji

Polityka bezpieczeństwa informacji

Diet&Fit Sonia Zastawnik

Adres: ul. Zielona 15, 32-332 Bukowno
NIP: 6372166450
Właściciel dokumentu: Sonia Zastawnik
Wersja dokumentu: 1.0
Data obowiązywania: 16 maja 2026 r.

1. Cel dokumentu

Niniejsza Polityka bezpieczeństwa informacji określa zasady ochrony informacji w firmie Diet&Fit Sonia Zastawnik, w tym informacji przetwarzanych w związku z obsługą płatności kartowych, administracją sklepu internetowego oraz bieżącą działalnością firmy.

Celem dokumentu jest zapewnienie poufności, integralności i dostępności informacji oraz ograniczenie ryzyka nieuprawnionego dostępu, ujawnienia, modyfikacji lub utraty danych.

2. Zakres

Polityka ma zastosowanie do wszystkich informacji przetwarzanych w firmie, niezależnie od nośnika, w szczególności do danych klientów, danych administracyjnych, informacji handlowych, danych technicznych systemów oraz danych związanych z obsługą płatności.

Dokument obejmuje także urządzenia, konta, systemy i usługi wykorzystywane przez firmę, w tym:

  • Laptop używany do administracji i pracy biurowej.

  • Telefon z systemem Android używany do aplikacji SoftPOS.

  • Drukarki biurowe.

  • Sklep internetowy sklep.diet-fit.pl.

  • Hosting sklepu realizowany przez HashMagnet.

  • Bramkę płatniczą Tpay.

  • Usługę płatniczą Elavon / SoftPOS.

3. Opis środowiska biznesowego

Diet&Fit Sonia Zastawnik prowadzi działalność dietetyczną oraz sklep internetowy. Administracja sklepem i obsługa biurowa odbywa się przy użyciu laptopa. W firmie wykorzystywane są drukarki do dokumentów operacyjnych i administracyjnych. Firma nie posiada własnego serwera.

Sklep internetowy jest utrzymywany na zewnętrznym hostingu HashMagnet, a płatności online są obsługiwane przez Tpay. Płatności zbliżeniowe i mobilne mogą być przyjmowane za pomocą telefonu z systemem Android oraz aplikacji SoftPOS dostarczanej przez Elavon.

4. Zasady ogólne

  1. Informacje firmowe należy chronić zgodnie z zasadą minimalizacji dostępu.

  2. Dostęp do informacji i systemów powinien mieć wyłącznie zakres niezbędny do wykonywania obowiązków.

  3. Zabronione jest obchodzenie zabezpieczeń technicznych i organizacyjnych.

  4. Zabronione jest przekazywanie danych kartowych, haseł i informacji poufnych osobom nieupoważnionym.

  5. Wszystkie osoby korzystające z systemów firmowych zobowiązane są do przestrzegania niniejszej Polityki.

5. Role i odpowiedzialności

Właścicielem i osobą odpowiedzialną za bezpieczeństwo informacji w firmie jest Sonia Zastawnik. Odpowiada ona za utrzymanie Polityki, nadzór nad bezpieczeństwem informacji, kontrolę dostępu do systemów oraz podejmowanie działań w przypadku incydentów bezpieczeństwa.

Jeżeli w przyszłości firma będzie korzystać z pomocy zewnętrznej w zakresie IT lub bezpieczeństwa, zakres obowiązków takiego podmiotu powinien być określony umową lub innym dokumentem organizacyjnym.

6. Klasyfikacja informacji

Informacje w firmie klasyfikowane są następująco:

  • Publiczne — informacje przeznaczone do publicznego udostępniania, np. treści marketingowe.

  • Wewnętrzne — informacje operacyjne, nieprzeznaczone do publicznego rozpowszechniania.

  • Poufne — dane klientów, dane finansowe, dane dostępowe, dane systemowe oraz inne informacje, których ujawnienie mogłoby spowodować szkodę dla firmy lub osób trzecich.

Dane kartowe, jeśli są przetwarzane w ramach transakcji, mają zawsze charakter poufny i muszą być chronione zgodnie z wymogami PCI DSS.

7. Dane kartowe i PCI DSS

Firma nie przechowuje pełnych danych kartowych we własnych systemach, bazach danych ani plikach. Dane kartowe są obsługiwane przez zewnętrznych dostawców usług płatniczych zgodnych z PCI DSS, w szczególności Tpay oraz Elavon / SoftPOS.

Zabronione jest zapisywanie numerów kart, kodu CVV/CVC, danych paska magnetycznego oraz kodów PIN w jakiejkolwiek postaci, w tym w wiadomościach e-mail, komunikatorach, plikach tekstowych, arkuszach kalkulacyjnych, notatkach lub zdjęciach.

8. Dostawcy usług zewnętrznych

Firma korzysta z następujących dostawców usług, którzy mogą mieć wpływ na środowisko przetwarzania informacji:

  • HashMagnet — hosting sklepu internetowego i infrastruktura WordPress / WooCommerce.

  • Tpay — bramka płatnicza i obsługa płatności online.

  • Elavon — usługa SoftPOS i mobilne przyjmowanie płatności kartowych.

Jeżeli w przyszłości zostaną dodani inni dostawcy usług wpływających na bezpieczeństwo informacji lub dane kartowe, niniejsza sekcja powinna zostać uzupełniona.

9. Zasady korzystania z urządzeń

Laptop

Laptop używany do celów służbowych powinien być zabezpieczony hasłem lub inną formą uwierzytelniania. Należy utrzymywać aktualny system operacyjny, aktualizacje bezpieczeństwa oraz oprogramowanie zabezpieczające.

Telefon z Androidem i SoftPOS

Telefon z Androidem używany do aplikacji SoftPOS stanowi urządzenie służbowe i powinien być zabezpieczony blokadą ekranu. Urządzenie powinno mieć włączone NFC, aktualny i wspierany system operacyjny oraz aktualizacje bezpieczeństwa. Nie należy rootować urządzenia, odblokowywać bootloadera ani instalować aplikacji z niezweryfikowanych źródeł.

Drukarki

Drukarki wykorzystywane w firmie powinny być używane wyłącznie do dokumentów związanych z działalnością. Dokumenty wydrukowane zawierające informacje poufne należy odbierać niezwłocznie po wydruku, a po wykorzystaniu odpowiednio niszczyć lub archiwizować.

10. Kontrola dostępu

Dostęp do systemów, kont, aplikacji, paneli administracyjnych oraz usług płatniczych musi być ograniczony do osób upoważnionych. Dostępy powinny być nadawane zgodnie z zasadą najmniejszych uprawnień. Hasła powinny być silne, unikalne i nieprzekazywane osobom trzecim.

11. Bezpieczeństwo fizyczne

Urządzenia wykorzystywane przez firmę powinny być przechowywane w miejscach ograniczających dostęp osób nieupoważnionych. W szczególności laptop i telefon z Androidem używany do SoftPOS nie powinny być pozostawiane bez nadzoru w miejscach publicznych ani dostępnych dla osób postronnych.

12. Bezpieczeństwo sieci i transmisji

Połączenia do sklepu internetowego, paneli administracyjnych i usług płatniczych powinny być realizowane wyłącznie przez bezpieczne protokoły szyfrowane. Niedozwolone jest przesyłanie pełnych danych kartowych e-mailem, komunikatorami lub innymi nieszyfrowanymi kanałami.

Sieć Wi‑Fi używana w firmie powinna być zabezpieczona silnym hasłem oraz aktualnym standardem szyfrowania.

13. Zarządzanie aktualizacjami

Wszystkie używane urządzenia, systemy i aplikacje powinny być aktualizowane w rozsądnym terminie po udostępnieniu poprawek bezpieczeństwa. Aktualizacje obejmują w szczególności laptop, telefon z Androidem, przeglądarki internetowe, wtyczki sklepu internetowego oraz inne wykorzystywane aplikacje.

14. Ochrona przed złośliwym oprogramowaniem

Laptop używany do pracy powinien być chroniony oprogramowaniem antywirusowym lub innym adekwatnym mechanizmem ochrony. Należy unikać otwierania podejrzanych załączników, linków i plików z nieznanych źródeł.

15. Zarządzanie zmianami

Zmiany w konfiguracji systemów, wtyczek, integracji, ustawień płatności, hostingu lub innych elementów mających wpływ na bezpieczeństwo informacji powinny być oceniane przed wdrożeniem.

16. Rejestrowanie i przegląd zdarzeń

W zakresie możliwym do zastosowania w małej organizacji należy monitorować logi i zdarzenia związane z systemami, sklepem, dostępami i usługami płatniczymi. Wszelkie nietypowe zdarzenia, błędy, nieautoryzowane próby dostępu lub podejrzane działania powinny być analizowane.

17. Zarządzanie podatnościami

Firma powinna monitorować aktualizacje bezpieczeństwa dotyczące wykorzystywanych usług, systemów i urządzeń. W szczególności należy uwzględniać komunikaty dotyczące hostingu HashMagnet, sklepu internetowego, WordPress / WooCommerce, Tpay oraz Elavon / SoftPOS.

18. Ochrona danych przechowywanych

Dane firmowe i dane klientów należy przechowywać tylko przez okres niezbędny do realizacji celu ich przetwarzania oraz zgodnie z obowiązującymi przepisami. Po upływie okresu przechowywania dane należy usunąć lub zanonimizować w sposób uniemożliwiający ich odtworzenie.

19. Poczta i komunikatory

Poczta elektroniczna i komunikatory mogą służyć do komunikacji biznesowej, lecz nie wolno przesyłać nimi pełnych danych kartowych ani informacji, które powinny być chronione w sposób szczególny.

20. Incydenty bezpieczeństwa

Incydentem bezpieczeństwa jest każde zdarzenie mogące spowodować utratę poufności, integralności lub dostępności informacji. W przypadku wykrycia incydentu należy niezwłocznie zabezpieczyć dostęp do systemu, zmienić hasła, odłączyć podejrzane urządzenia i ocenić skutki zdarzenia.

21. Plan reagowania na incydenty

Procedura reagowania na incydenty obejmuje:

  1. Identyfikację zdarzenia.

  2. Ograniczenie skutków.

  3. Zabezpieczenie dowodów.

  4. Ocenę zakresu naruszenia.

  5. Podjęcie działań naprawczych.

  6. Udokumentowanie zdarzenia.

  7. Podjęcie działań zapobiegawczych na przyszłość.

22. Dostęp stron trzecich

Dostawcy usług zewnętrznych mogą uzyskiwać dostęp wyłącznie w zakresie niezbędnym do świadczenia usług. Dostęp powinien być kontrolowany i ograniczony.

23. Polityka akceptowalnego korzystania

Zasoby firmowe mogą być wykorzystywane wyłącznie do celów związanych z działalnością Diet&Fit Sonia Zastawnik. Zabronione jest wykorzystywanie ich do celów prywatnych w sposób zagrażający bezpieczeństwu informacji, a także do instalacji nieautoryzowanych programów, pobierania nieznanych plików oraz omijania zabezpieczeń.

24. Szkolenia i świadomość bezpieczeństwa

Osoba odpowiedzialna za firmę powinna okresowo zapoznawać się z obowiązującymi wymaganiami bezpieczeństwa, w szczególności w zakresie ochrony danych klientów, obsługi płatności, ochrony urządzeń oraz reagowania na incydenty.

25. Przegląd polityki

Niniejsza Polityka powinna być przeglądana co najmniej raz w roku oraz każdorazowo po istotnej zmianie w środowisku firmy, systemach, dostawcach usług lub wymaganiach prawnych i kontraktowych.

26. Postanowienia końcowe

Niniejszy dokument obowiązuje od dnia podpisania i stanowi wewnętrzny zbiór zasad bezpieczeństwa informacji w Diet&Fit Sonia Zastawnik. W sprawach nieuregulowanych niniejszą Polityką stosuje się obowiązujące przepisy prawa, umowy z dostawcami usług oraz wymagania wynikające z PCI DSS i innych właściwych standardów bezpieczeństwa.

Załącznik A – Lista wykorzystywanych zasobów

Zasób / usługa Opis
Laptop Urządzenie do administracji sklepu, pracy biurowej i komunikacji.
Telefon z Androidem Urządzenie mobilne używane do Elavon SoftPOS.
Drukarki Urządzenia biurowe do dokumentów administracyjnych i operacyjnych.
Sklep internetowy sklep.diet-fit.pl
HashMagnet Hosting sklepu i infrastruktura techniczna.
Tpay Obsługa płatności online.
Elavon Usługa SoftPOS i mobilne przyjmowanie płatności kartowych.